在EC2 Tomcat服务器上安装SSL

2018-06-28 02:32:10

我试图使用Ubuntu和Tomcat 7.0.52在AWS EC2实例上获得CA cert / SSL。浏览器无法连接。以下是我通过的步骤：

keytool -genkey -alias mydomain -keyalg RSA -keystore mydomain.keystore -keysize 2048
<fill out information>

keytool -certreq -keyalg RSA -alias mydomain -file certreq.csr -keystore ../mydomain.keystore

提交csr到ssls.com/Geotrust，并收回：bundle.crt www.mydomain.net.crt

将证书导入密钥库：

keytool -import -trustcacerts -alias root -keystore ../mydomain.keystore -file bundle.crt
keytool -import -alias mydomain -keystore ../mydomain.keystore -file www.mydomain.net.crt

接下来，更新$ TOMCAT_HOME / config / server.xml：

<Connector port="8080" protocol="HTTP/1.1"
       connectionTimeout="20000"
       redirectPort="443" />
<Connector port="8443" SSLEnabled="true"
       maxThreads="150" scheme="https" secure="true"
       keystoreFile="/home/ubuntu/mydomain.keystore" 
       keystorePass="xxxxxxx"
       clientAuth="false" sslProtocol="TLS" />

并重新启动tomcat。

带安全组的EC2实例设置为允许端口80和443。

修改重定向80-> 8080和443-> 8443：

sudo iptables -t nat -n -L PREROUTING --line-numbers
Chain PREROUTING (policy ACCEPT)
num  target     prot opt source               destination         
1    REDIRECT   tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:443 redir ports 8443
2    REDIRECT   tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80 redir ports 8080

www.mydomain.net的DNS还没有到位，所以我目前正在使用修改的/ etc / hosts进行测试：

54.200.126.130  www.mydomain.net
54.200.126.130  mydomain.net

sslscan不会返回任何有效的密码。他们全部被列为“被拒绝”。

openssl测试：

openssl s_client -connect www.mydomain.net:443
CONNECTED(00000003)
64007:error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure:s23_clnt.c:602:

切换到使用keytool生成的自签名证书正常工作（除了强制性浏览器警告）。所以看起来问题必须是证书和/或密钥库，但我不确定问题是什么。

除非您在Connector.上指定keyAlias属性，否则Tomat会采用“tomcat”的密钥库别名Connector. 只需添加keyAlias=mydomain ，或使用keytool.将您的别名重命名为“tomcat” keytool.

Tomcat文档提到keyAlias：“如果未指定，将使用在密钥库中读取的第一个密钥。”，但这是一个很好的结果。但是，它并没有解决我所有的问题。我联系了GeoTrust，他们建议下载一个可以工作的PKCS＃7证书。奇怪的是，鉴于tomcat文档说“Tomcat目前只在JKS，PKCS11或PKCS12格式密钥库上运行”。最后，它是两次支持CA的聊天，堆栈溢出帖子与赏金，几小时的openssl和keytool测试。获得的经验教训：看起来CA是因为他们得到支持电话，拥有最好的文档（不是tomcat）。

https://knowledge.geotrust.com/support/knowledge-base/index?page=content&id=SO15323

链接地址: http://www.djcxy.com/p/78521.html

上一篇: Install SSL on EC2 Tomcat server

下一篇: Understanding CDI/Weld in multi